DVWA靶场Open HTTP Redirect (重定向) 漏洞所有级别通关教程及源码审计
Open HTTP RedirectHTTP 重定向(HTTP Redirect Attack)是一种网络,利用 HTTP 协议中的重定向机制,将用户引导至恶意网站或非法页面,进而进行垂纶、恶意软件流传等恶意行为。攻击者通常通过操控重定向响应头或 URL 参数实现这种
HTTP 重定向基本原理
HTTP 重定向是一种用于通知客户端(如欣赏器)哀求的资源已被移动到另一个位置的机制,通常由服务器发送 3xx 系列状态码响应。常见的重定向状态码包括:
[*]301 Moved Permanently:永久重定向,表现哀求的资源已被永久移动到新的 URL。
[*]302 Found:临时重定向,表现哀求的资源临时在另一个 URL 上。
[*]303 See Other:建议客户端利用 GET 方法获取资源。
[*]307 Temporary Redirect:临时重定向,保持哀求方法稳定。
[*]308 Permanent Redirect:永久重定向,保持哀求方法稳定。
HTTP 重定向方式
HTTP 重定向紧张利用了合法的重定向机制,通过各种方式将用户重定向到恶意网站。常见的方式包括:
[*]开放重定向(Open Redirect):
[*]通过操控网站的 URL 参数,实现对重定向目标的控制。例如,合法网站的 URL 参数 redirect=http://example.com 被替换为 redirect=http://malicious.com,导致用户被重定向到恶意网站。
[*]垂纶(Phishing):
[*]利用重定向将用户引导到伪装成合法网站的恶意网站,诱骗用户输入敏感信息(如登录凭据、银行账号)。
[*]恶意软件流传(Malware Distribution):
[*]通过重定向将用户引导到托管恶意软件的网站,诱骗用户下载和安装恶意软件。
low
随便点击一个链接,发现url栏有传参点
https://track123.oss-cn-beijing.aliyuncs.com/20250101144208112.png
定位源码查看,发现重定向点
https://track123.oss-cn-beijing.aliyuncs.com/20250101144349298.png
修改为source/low.php?redirect=http://www.baidu.com
https://track123.oss-cn-beijing.aliyuncs.com/20250101144537481.png
成功跳转
源码审计
没有存在过滤,不安全
<?php
// 检查URL中是否存在'redirect'参数,并且该参数不为空。
if (array_key_exists("redirect", $_GET) && $_GET['redirect'] != "") {
// 如果存在'redirect'参数且不为空,则进行重定向到指定的路径。
header("location: " . $_GET['redirect']);
exit; // 终止脚本执行
}
// 如果'redirect'参数不存在或为空,则返回HTTP 500状态码并显示缺少重定向目标的错误信息。
http_response_code(500);
?>
<p>Missing redirect target.</p>
<?php
exit; // 终止脚本执行
?>medium
与low级别的方法没什么区别,查看源码可以发现差别的地方在于禁用了http://,https:// 字段
构造url绕过 source/low.php?redirect=www.baidu.com,如果没有明确指定协议,直接以 // 开头,则表现利用和当前页面相同的协议,便可以绕过了
https://track123.oss-cn-beijing.aliyuncs.com/20250101144949520.png
源码审计
利用正则表达式检查是否含有http:// https:// 字段。如果有则过滤
Absolute URLs not allowed.
<?php
// 检查URL中是否存在'redirect'参数,并且该参数不为空。
if (array_key_exists("redirect", $_GET) && $_GET['redirect'] != "") {
// 如果存在'redirect'参数且不为空,则进行重定向到指定的路径。
header("location: " . $_GET['redirect']);
exit; // 终止脚本执行
}
// 如果'redirect'参数不存在或为空,则返回HTTP 500状态码并显示缺少重定向目标的错误信息。
http_response_code(500);
?>
<p>Missing redirect target.</p>
<?php
exit; // 终止脚本执行
?>high
查看源码可以发现与上面两个级别差别的是检查是否有info.php字段,如果没有,则不能进行重定向
构造代码绕过:source/low.php?redirect=http://www.baidu.com?id=info.php
https://track123.oss-cn-beijing.aliyuncs.com/20250101145317979.png
成功绕过
源码审计
检查了url种是否含有info.php字段,如果没有则会过滤
You can only redirect to the info page.
<?php
// 检查URL中是否存在'redirect'参数,并且该参数不为空。
if (array_key_exists("redirect", $_GET) && $_GET['redirect'] != "") {
// 如果存在'redirect'参数且不为空,则进行重定向到指定的路径。
header("location: " . $_GET['redirect']);
exit; // 终止脚本执行
}
// 如果'redirect'参数不存在或为空,则返回HTTP 500状态码并显示缺少重定向目标的错误信息。
http_response_code(500);
?>
<p>Missing redirect target.</p>
<?php
exit; // 终止脚本执行
?>impossible
源码审计
采用了更加符合现真相况的方法,较为安全
<?php
// 初始化目标URL为空字符串
$target = "";
// 检查URL中是否存在'redirect'参数,并且该参数是一个数字。
if (array_key_exists("redirect", $_GET) && is_numeric($_GET['redirect'])) {
// 根据'redirect'参数的整数值选择不同的重定向目标。
switch (intval($_GET['redirect'])) {
case 1:
// 如果参数值为1,设置目标为"info.php?id=1"
$target = "info.php?id=1";
break;
case 2:
// 如果参数值为2,设置目标为"info.php?id=2"
$target = "info.php?id=2";
break;
case 99:
// 如果参数值为99,设置目标为"https://digi.ninja"
$target = "https://digi.ninja";
break;
}
// 如果目标URL已被设置,执行重定向。
if ($target != "") {
header("location: " . $target);
exit; // 结束脚本执行
} else {
?>
Unknown redirect target.
<?php
exit; // 结束脚本执行
}
}
?>
Missing redirect target.
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]